Активность

SecurityCheck.txt

Есть ответ от ДрВэба: шифровальщик запускался с этого ПК, из файла C:\PerfLogs\update.exe , судя по отчету, на диске его уже нет. Компоненты защиты были отключены незадолго до запуска трояна, вероятнее всего вручную: 20260316.013258.171 [7480] SpIDer Guard was deactivated - Файлы зашифрованы Trojan.Encoder.31074 (Lockbit) Расшифровка нашими силами невозможна. Отключить вручную у меня возможности не было, политика доступа не позволяла. Чистить Систему обязательно чистить? в планах оставить всё вне сети как есть, потом просто новую систему установить.

Да, вижу что подходящего детекта нет. Проверьте в логах, было ли отключение защиты в период шифрования. + проверьте было ли шифрование на других устройствах в ЛС.

Карантина нет... есть скринщот менеджера карантина.

По очистке системы: Выполнить очистку в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM-x32\...\Run: [] => [X] Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {90B9D5BB-C130-43D9-9E50-7441E87F425F} - System32\Tasks\FopxAuEJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C nslookup myip.opendns.com resolver1.opendns.com > \Windows\Temp\/kAPMal 2>&1 <==== ВНИМАНИЕ Task: {C27EF5B1-24BB-4BBD-828E-E68034AB4F6E} - System32\Tasks\jKtGavCJ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/UgvcXC 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ Task: {35E1C4A0-00BF-4040-94E0-A603FE0054F1} - System32\Tasks\NyujwGvQ => C:\Windows\system32\cmd.exe [289792 2025-04-21] (Microsoft Windows -> Microsoft Corporation) -> /C systeminfo > \Windows\Temp\/NEArDR 2>&1 <==== ВНИМАНИЕ Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2026-03-15] ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (AnyDesk Software GmbH -> AnyDesk Software GmbH) Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

С Днём Рождения!

Судя по логу шифрование началось где то в это время: 2026-03-16 01:50 - 2025-06-06 13:39 - 000000653 ____N C:\Users\****\AppData\Local\oobelibMkey.log.MgHXQQFGN Покажите, пожалуйста, что в карантине ДрВеб 2026-03-13 13:48 C:\DrWeb Quarantine

Аттач Addition.txt

Addition.txt тоже добавьте, пожалуйста.

Прикладываю лог FRST, и архив с зашифрованными файлами. Систему сканировал после инцидента Cureit, логов нет, впрочем как и результата выявления вредоносных файлов, как будто и не было никого. Шифровальщик мог быть откуда угодно, файлы с сети качались, почта вложения принимала, обмен по сети был, флешки использовались. Детектов нет. Имя шифровальщика MgHXQQFGN. Штатный DrWeb стоит и мониторит давно, за день до атаки обновился. FRST.txt KAV.7z

Спасибо, скрипт отработал успешно. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

ага. спасибо. тогда вопросы возникают к авторам документации.

@kmscom, меня это тоже смутило поначалу. Но и формулировка вопроса и этот вариант ответа взяты из актуальной документации: https://support.kaspersky.ru/my-kaspersky/227959

а разве Помощь в предотвращении мошенничества в Kaspersky Plus нельзя воспользоваться? Ответ - Ни одним из указанных, т.к. это доступно только с Kaspersky Premium неверный ответ , так как Помощь в предотвращении мошенничества не является премиальным сервисом, и доступен в Kaspersky Plus, а не только в Kaspersky Premium То что в вариантах ответов вопросе Каким набором программных решений с премиальным сервисом можно воспользоваться с купленным приложением Kaspersky Plus сервис Помощь в предотвращении мошенничества перечислен в наборе Премиальных, означает что либо ответ не корректен, либо сам вопрос.

Друзья! Публикуем верные ответы Напоминаем, что:

Fixlog.txt

Еще как то вариант нашел : GitHub - e3kskoy7wqk/Chromium-for-windows-7-REWORK: chromium for windows 7 · GitHub , хром продолжает на нем жить , разработчики умудрился и снял ограничение версию для Win7 -обновляется ... Пока наблюдаю за этим , да и там выложили новые версии билды .. Интересно... Еще для висты и хп и вин7 вин GitHub - Eclipse-Community/r3dfox: r3dfox is a modern Firefox based web browser for Windows Vista & 7. SourceForge link for downloading with older browsers. https://sourceforge.net/projects/r3dfox/ · GitHub - тоже интересные ..

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Valery_Dnepr (72)DWState (45)Иришка (40)SOL. (41)Геныч (64)VeLLiToN (39)Honey007 --nurjan91 (35)БуБоЧкА (33)

Извините пожалуйста я недочитал , вродебы удалил вирус через Kaspersky как будут соблюдаться проблемы с системой я вам скину файл лога.

В магазине их не будет в ближайшее время

Порядок оформления запроса о помощи

Кароче скачал сборку по игре самп,потом играл в кс2 и увидел в мониторинге что проц скачет до 100 проц увидел что два файла есть , один грузит видюху но это ориг файл а второй это грузит цп но при открытии он больше не грузит и так каждый раз! на этом скрине он не работает но он грузит когда закрыт процессор задач до 100 стабильн

Интересно, если я спрошу третий раз, то мне также ничего не ответят?!

Порядок оформления запроса о помощи

ссылки с сайтов, на которых русские слова написаны латиницей, очень криво копируются. примеры: поломанная ссылка: https://www.tatar-inform.ru/news/UQAqJ3KzD1l6VDGbaijIcsSeOss0FSBZggu_gmpy2kcvzuIEzaslugi-pered-respublikoi-tatarstan-6020852 как должна выглядеть ссылка на самом деле: https://www.tatar-inform.ru/news/general-maior-nigmatzyanov-nagrazden-medalyu-za-zaslugi-pered-respublikoi-tatarstan-6020852 поломанная ссылка, естественно, не работает. такая проблема наблюдается у меня не только на уровне браузера, но и если я скопирую ссылку из блокнота тоже. проблема ТОЛЬКО у ссылок с русскими словами, на всех сайтах. у коллег такой проблемы нет, так что это индивидуально